Chương trình này có giá trị gì đối với nhà phát triển?
Việc thường xuyên tiến hành kiểm tra bảo mật cho ứng dụng có thể giúp bạn xác định những lỗ hổng bảo mật lớn trong ứng dụng và giảm nhẹ trách nhiệm pháp lý sau này nếu có. Google Play sẽ cho phép những nhà phát triển đã trải qua quy trình xác thực độc lập giới thiệu thông tin này trên biểu mẫu An toàn dữ liệu.
Lợi ích đối với người dùng là gì?
Người dùng có thể yên tâm rằng các ứng dụng đã được các chuyên gia bên ngoài kiểm tra kỹ lưỡng và có độ tin cậy cao hơn về sự an toàn / bảo mật của các dịch vụ đó.
Những loại ứng dụng nào áp dụng được cho chương trình này?
OWASP MASVS áp dụng cho mọi ứng dụng di động. Điều này bao gồm nhiều danh mục ứng dụng như IoT, thể dục/sức khoẻ, mạng xã hội, thông tin liên lạc, VPN, năng suất và nhiều danh mục khác.
Phạm vi đánh giá là gì?
Phạm vi đánh giá bao gồm bảo mật phía máy khách, xác thực dịch vụ phụ trợ/đám mây và khả năng kết nối với dịch vụ phụ trợ/đám mây, xem xét các biện pháp bảo mật chung và một số phương pháp hay nhất về quyền riêng tư.
Quy trình đánh giá này sẽ bao gồm những loại trường hợp kiểm thử nào?
Bài đánh giá sẽ xem xét một tập hợp con các yêu cầu có thể kiểm thử trong MASVS Cấp 1 có trên GitHub tại đây.
Chứng chỉ có hiệu lực trong bao lâu?
1 năm. Sau 1 năm, nhà phát triển sẽ chịu trách nhiệm chứng nhận lại ứng dụng của mình.
MASA cung cấp những mức độ đảm bảo nào và sự khác biệt giữa các mức độ đó là gì?
MASA cung cấp hai cấp độ bảo đảm: AL1, một quy trình tự đánh giá bằng cách quét APK và bảng câu hỏi, và AL2, một quy trình đánh giá toàn diện trong phòng thí nghiệm bằng cách phân tích tĩnh và động để ứng dụng của bạn nhận được huy hiệu "Đánh giá bảo mật độc lập" trong Cửa hàng Play.
Chi phí là bao nhiêu?
Phí sẽ khác nhau tuỳ thuộc vào đối tác phòng thí nghiệm, nhưng trung bình, bạn có thể phải trả từ 3.000 đến 6.000 đô la Mỹ cho AL2 và 500 đô la Mỹ cho AL1.
Quy trình này mất bao lâu?
Sau khi hoàn tất các thủ tục giấy tờ cần thiết, bạn có thể nhận được kết quả đánh giá của phòng thí nghiệm trong vòng 10 ngày. Khung thời gian hoàn thành còn tuỳ thuộc vào ý kiến phản hồi của phòng thí nghiệm và khả năng của nhóm bạn trong việc triển khai nhanh các thay đổi.
Đối tác của phòng thí nghiệm là ai?
Google đã hợp tác với một số phòng thí nghiệm được uỷ quyền để tiến hành đánh giá ứng dụng. Tất cả phòng thí nghiệm được uỷ quyền đều cung cấp quy trình kiểm tra toàn diện về tính bảo mật cũng như các cách giúp nhà phát triển có được chứng nhận theo các tiêu chuẩn hiện hành.
Làm cách nào để bắt đầu?
Nhà phát triển có cơ hội làm việc trực tiếp với một Phòng thí nghiệm được uỷ quyền để bắt đầu quy trình kiểm thử. Mọi khoản phí hoặc thủ tục giấy tờ cần thiết đều sẽ được xử lý trực tiếp giữa phòng thí nghiệm và nhà phát triển.
Tôi có thể gửi bài kiểm thử của riêng mình / sử dụng một phòng thí nghiệm khác không?
Hiện tại, chúng tôi chỉ chấp nhận kết quả đánh giá của các đối tác phòng thí nghiệm được MASA uỷ quyền. Nếu bạn đang làm việc với một phòng thí nghiệm muốn tham gia chương trình, vui lòng yêu cầu họ điền vào biểu mẫu tại đây.
Đối thủ cạnh tranh của tôi có thấy kết quả thử nghiệm của tôi không? Kết quả kiểm tra của tôi có được công khai không?
Kết quả kiểm thử ban đầu sẽ chỉ được chia sẻ với nhóm của bạn. Sau khi ứng dụng đáp ứng tất cả các yêu cầu, phòng thí nghiệm sẽ gửi bản tóm tắt báo cáo cho Google. Bản tóm tắt này sẽ được công khai trên thư mục MASA sắp ra mắt. Bản tóm tắt báo cáo chỉ giới hạn trong phạm vi kiểm thử và không bao gồm bất kỳ phát hiện nhạy cảm nào liên quan đến ứng dụng của bạn. Bạn có toàn quyền kiểm soát thời điểm công khai những kết quả này.
Có cách nào để giới thiệu điều này trên trang thông tin của chúng tôi trên Google Play không?
Cách chính để người dùng thấy được thông tin này là thông qua huy hiệu bảo mật trong mục An toàn dữ liệu. Lựa chọn này chỉ dành cho các ứng dụng đã hoàn tất quy trình đánh giá AL2. Chúng tôi đang tìm hiểu các cách để giới thiệu thông tin này cho nhiều người dùng hơn trên Play.
Mất bao lâu để kết quả xuất hiện trên nhãn An toàn dữ liệu?
Sau khi bạn cập nhật Mục An toàn dữ liệu để cho biết ứng dụng của bạn "đã được xác thực độc lập", thông tin này sẽ bắt đầu xuất hiện trên nhãn An toàn dữ liệu trong vòng một tuần.
Tôi nên tham chiếu đến chương trình này như thế nào ở bên ngoài?
Những nhà phát triển đã hoàn tất quy trình chứng nhận có thể cho biết rằng họ đã được xác thực độc lập thông qua Liên minh bảo vệ ứng dụng
Nhà phát triển có phải được chứng nhận lại cho mỗi bản cập nhật hoặc bản phát hành ứng dụng không?
Không, chứng nhận MASA được cấp hằng năm và là một hình thức đánh giá tại một thời điểm. Nhà phát triển nên tiếp tục duy trì việc tuân thủ thông qua các quy trình đánh giá nội bộ trong vòng đời phát triển tính bảo mật.
Ai sẽ theo dõi các yêu cầu về việc chứng nhận lại hằng năm cho những ứng dụng này và ai sẽ thông báo cho nhà phát triển khi chứng chỉ của họ hết hạn?
Nhà phát triển có trách nhiệm duy trì tính hợp lệ của chứng chỉ.
Google có quyền truy cập vào kết quả hoặc phát hiện nào của phòng thí nghiệm không?
Google chỉ nhận được báo cáo xác thực từ các đối tác Phòng thí nghiệm được uỷ quyền cho biết ứng dụng có đáp ứng các yêu cầu hay không. Không có mã ứng dụng, kết quả quét hoặc phát hiện lỗ hổng nào được chia sẻ hoặc tiết lộ cho Google trong quá trình xác minh.
Nếu tôi không đồng ý với kết quả đánh giá / kết quả kiểm tra của phòng thí nghiệm thì sao?
Các quy trình đánh giá theo MASA do các phòng nghiên cứu được uỷ quyền của bên thứ ba thực hiện. Nếu không đồng ý với kết quả đánh giá hoặc có câu hỏi về trạng thái tuân thủ, bạn có thể khiếu nại trực tiếp với phòng thí nghiệm đã bắt đầu kiểm thử ứng dụng của bạn.
Nếu đây là lần đầu tiên tôi phát hành ứng dụng thì sao?
Nhà phát triển có thể gửi bản dựng trước khi phát hành cho phòng thí nghiệm để thử nghiệm sớm, nhưng phiên bản cuối cùng, được chứng nhận phải là tệp APK chính thức được phát hành trên Cửa hàng Google Play.
Phòng thí nghiệm có thể xem xét ứng dụng của tôi nếu ứng dụng đó bị xáo trộn không?
Việc làm rối mã nguồn có thể khiến các công cụ kiểm thử trong phòng thí nghiệm khó đánh giá ứng dụng của bạn. Trong những trường hợp này, bạn có thể phải gửi thêm tài sản cho các phòng thí nghiệm để hỗ trợ việc kiểm thử và có thể phải trả thêm phí.